Online form Security

我想做個調查，了解大家做 web application 時如何做保安。

例如一張簡單 online form，是 form to mail 或者 form to DB，收集的不是個人敏感資料。大家在做這個 application 時會否做保安設定去防止 malicious usage？若有，會做到甚麼程度？

A. 甚麼也不做
B. 會 filter user input
C. 會 check HTTP referer
D. 使用 CAPTCHA
E. 使用 SSL
F. 會 Encrypt Mail / DB

歡迎留言說你的選擇，可以的話，請說一下你的理由。若有其他保安上的做法，亦歡迎補充。

About this entry

You’re currently reading “Online form Security,” an entry on Clement in a Nutshell

Published:: Apr 13 2007 / 7:44 pm

Category:: 技術交流

Tags:: security

Post RSS Comments RSS

Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported

Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported

1 Comment

Jump to comment form | comments rss | trackback uri

mk [#] Apr 17 2007 / 2am

那要看 Malicious usage 究竟是怎樣。保護使用者的話會將密碼放進資料庫前變成雜湊值(Hash)，而 form to mail 盡量不用(不經 HTTP)，因為統統會變成 clear text…(除非你還會附一條 public key… 不過這樣的話使用 HTTPS 對使用者會更為方便)
SSL… 設定起來也不太麻煩，不過如果只是普通資料有點殺雞用牛刀的感覺。
保護網站方面，會檢查 user input 是必然的啦，原因也不用多說。同理，網頁一定不可以直接顯示用家輸入值。
Captcha 不會用，一來不方便使用者(歧視)，二來繞過這種東西實在簡單得很(有人甚至想過把認 captcha 的工作 outsource 給印度人)
還有這個，很值得一看：http://isc.sans.org/diary.html?storyid=1836

Have your say

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

flickr [more] [rss]

P1040634

P1040677

P1040670

P7180996

P7180964

P7180959

P7180952

P7180942

P7180920

Stickers

Clement T

XML-Sitemap

chiunam AT GMail Dot Com

FeedCount

Get Firefox

Zenphoto

scicube Hosting

Recent Comments

USAKY: its not working sometime.However, overall its a great tool for putonghua learner
Andy: Oh, and did not know about it. Thanks for the information …
家儒: 我比較希望在我的cell phone 上看到 no style 的網頁…. 即是在電腦上，我也經常用...
make up: 香港網頁製作市場應該很小。
sunzero: 当有sidebar时怎么做呀?

Recent Entries

Meta

Skip to content